СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.12.2025
#ИБ

Операция FrostBeacon: Cobalt Strike, фишинг и CVE-2017-0199

Исследователи Seqrite Labs обнаружили целенаправленную кампанию вредоносного ПО под названием FrostBeacon, ориентированную на организации в Российской Федерации, преимущественно в финансовой и юридической сферах. Кампания сочетает технические приемы и социальную инженерию, используя несколько независимых цепочек заражения для доставки Cobalt Strike Beacons.

Кластеры атаки и способы доставки

Операция разделена на два основных кластера с разной тактикой распространения:

  • Кластер 1: фишинговые письма содержат сжимаемые архивы, в которых находятся вредоносные ярлыки (LNK/shortcut). Архивы используются для маскировки полезной нагрузки и затруднения обнаружения.
  • Кластер 2: вредоносные вложения в формате DOCX, эксплуатирующие уязвимость CVE-2017-0199. Эксплойт вызывает работу редактора формул и инициирует загрузку и выполнение remote HTA file, что обеспечивает дальнейшее проникновение.

Механизм выполнения и уровни обфускации

После успешного запуска начального вектора злоумышленники загружают стейджер Cobalt Strike по русскоязычному URL update.ecols.ru. Дополнительное расследование выявило более 40 похожих URL-адресов, используемых для распространения стейджера.

Фаза выполнения включает следующие характерные приемы:

  • Запуск команд PowerShell в скрытом режиме, что снижает видимость активности для пользователей.
  • Использование символного запутывания для активации mshta.exe — пример: m ^ s ^ h ^ t ^ a, что помогает инициировать загрузку и выполнение удаленных HTA-пакетов.
  • Трехуровневая обфускация полезной нагрузки на стороне PowerShell: исходный этап представлен как сжатая с помощью gzip строка в кодировке Base64, встроенная в MemoryStream. После распаковки формируется вторичный скрипт PowerShell с критическими функциями для продвижения атаки и разворачивания финальной полезной нагрузки.

Социальная инженерия: фишинговые шаблоны

Электронные письма имитируют официальные требования о погашении долга и создают ощущение срочности и законности. Типичный сценарий включает:

  • Угрозы судебным иском при неуплате в установленный срок.
  • Использование точных формулировок контрактов и требований.
  • Требование отправки заверенных документов по почте на «официальный» адрес для подтверждения легитимности запроса.

Такая комбинация страха перед штрафами и кажущейся формальной корректности повышает вероятность того, что пользователь откроет вложение или распакует архив, тем самым запуская цепочку заражения.

Индикаторы компрометации (IoC)

  • Стейджер: update.ecols.ru и более 40 похожих URL-адресов.
  • Использование уязвимости: CVE-2017-0199 (вредоносные DOCX → remote HTA).
  • Вложения: сжимаемые архивы с вредоносными ярлыками и вредоносные файлы DOCX.
  • Запуск скрытых PowerShell команд и обфусцированное использование mshta.exe (например, «m ^ s ^ h ^ t ^ a»).
  • Трехуровневая обфускация: Base64gzipMemoryStream → вторичный PowerShell-скрипт.

Рекомендации по защите

  • Обновить программное обеспечение и применить патчи, в том числе устранение уязвимостей, связанных с CVE-2017-0199.
  • Отключить или ограничить использование mshta.exe, если это возможно, либо контролировать его запуск с помощью политики приложения.
  • Настроить фильтрацию почты и sandbox-анализ вложений: блокировать неизвестные архивы и подозрительные DOCX-файлы.
  • Обучать сотрудников распознавать фишинговые письма, особенно сообщения с требованиями оплаты и угрозами судебных действий.
  • Настроить мониторинг и EDR-правила для обнаружения скрытых запусков PowerShell, цепочек обфускации и сетевых соединений к подозрительным URL.
  • Блокировать и отслеживать доступ к известным вредоносным доменам (включая update.ecols.ru и похожие паттерны).

По данным Seqrite Labs, «кампания использует многоуровневую стратегию заражения и сохраняет эффективность за счет сочетания технических приёмов и тщательно спланированной социальной инженерии».

Вывод

Операция FrostBeacon демонстрирует, что даже устаревшие уязвимости, такие как CVE-2017-0199, остаются эффективным инструментом при грамотной комбинации с современными техниками доставки и глубокой обфускацией. Особую опасность представляют целевые фишинговые рассылки, направленные на финансовые и юридические организации: они используют контекст легитимных контрактных обязательств, чтобы вынудить пользователя выполнить опасные действия. Для снижения рисков необходим комплексный подход: обновления, технические ограничения, фильтрация почты и обучение персонала.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: